MCP sistemindeki gizli zehirleme ve manipülasyon pratik analizi

MCP (Model Context Protocol) sistemi şu anda erken gelişim aşamasında, genel ortam oldukça karmaşık, çeşitli potansiyel saldırı yöntemleri ortaya çıkıyor, mevcut protokoller ve araç tasarımları etkili bir savunma sağlamada zorlanıyor. Topluluğun MCP güvenliğini daha iyi anlamasına ve artırmasına yardımcı olmak için, bir güvenlik ekibi MasterMCP aracını açık kaynak olarak sundu, umarız gerçek saldırı tatbikatları ile geliştiricilerin ürün tasarımındaki güvenlik açıklarını zamanında keşfetmesine yardımcı olur, böylece MCP projesi kademeli olarak güçlendirilebilir.

Bu makale okuyucuları uygulamalı olarak MСP sistemi altında sık karşılaşılan saldırı yöntemlerini, örneğin bilgi zehirleme, gizli kötü niyetli komutlar gibi gerçek vakaları göstermeye yönlendirecektir. Tüm gösterim scriptleri de açık kaynaklı olarak sunulacak, okuyucular güvenli bir ortamda tüm süreci eksiksiz bir şekilde yeniden oluşturabilir ve hatta bu scriptler temelinde kendi saldırı test eklentilerini geliştirebilir.

Genel Mimari Görünümü

saldırı hedefi MCP:Toolbox

Ünlü bir MCP eklenti web sitesi, şu anda en popüler MCP topluluklarından biridir ve birçok MCP listesi ve aktif kullanıcıyı bir araya getirmektedir. Resmi olarak sunulan MCP yönetim aracı Toolbox, aşağıdaki noktalar dikkate alınarak test hedefi olarak seçilmiştir:

• Kullanıcı tabanı büyük, temsil yeteneğine sahip
• Diğer eklentilerin otomatik olarak yüklenmesini destekler, bazı istemci işlevlerini tamamlar.
• Hassas yapılandırmalar içerir ( gibi API Anahtarı ), gösterim için uygundur.

gösterim için kullanılan kötü niyetli MCP:MasterMCP

MasterMCP, güvenlik testleri için özel olarak geliştirilmiş bir sahte kötü amaçlı MCP aracıdır. Eklenti mimarisi tasarımı kullanır ve aşağıdaki ana modülleri içerir:

1. Yerel web sitesi hizmeti simülasyonu:

Saldırı senaryosunu daha gerçekçi bir şekilde yansıtmak için, MasterMC yerel web hizmeti simülasyon modülünü entegre etmiştir. FastAPI çerçevesi aracılığıyla basit bir HTTP sunucusu hızlı bir şekilde kurularak yaygın web sayfası ortamları simüle edilir. Bu sayfalar dışarıdan normal görünse de, aslında sayfa kaynak kodunda veya arayüz yanıtlarında özenle tasarlanmış kötü niyetli yükler gizlenmiştir.

2. Yerel Eklentili MCP Mimarisi

MasterMCP, yeni saldırı yöntemlerinin hızlı bir şekilde eklenmesini sağlamak için eklenti tabanlı bir genişleme yöntemi kullanır. Çalıştırıldığında, MasterMCP yukarıdaki FastAPI hizmetini alt süreçte çalıştıracaktır.

Demostrasyon İstemcisi

• Cursor: Dünyanın en popüler AI destekli programlama IDE'lerinden biri
• Claude Desktop: Anthropic(MCP protokolü özelleştirme tarafı) resmi istemci

gösterim için kullanılan büyük model

• Claude 3.7

Claude 3.7 versiyonunu seçin, çünkü hassas işlem tanıma konusunda belirli iyileştirmeler yapılmıştır ve aynı zamanda mevcut MCP ekosisteminde güçlü bir işlem yeteneğini temsil etmektedir.

Cross-MCP kötü niyetli çağrı

web içeriği zehirleme saldırısı

1. Açıklamalı zehirleme

Cursor aracılığıyla yerel test sitesine erişim sağlamak, büyük model istemcisinin kötü amaçlı bir siteye erişiminin neden olduğu etkileri simüle etmek.

Talimatı yerine getir:

İçeriği al

Sonuçlar, Cursor'ın yalnızca web sayfası içeriğini okumakla kalmadığını, aynı zamanda yerel hassas yapılandırma verilerini de test sunucusuna geri ilettiğini gösteriyor. Kaynak kodda, kötü niyetli anahtar kelimeler HTML yorumları biçiminde yerleştirilmiş. Yorumlama yöntemi oldukça açık ve kolayca tanınabilir olsa da, kötü niyetli işlemleri tetiklemek için yeterlidir.

2. Kodlama Tabanlı Yorum Zehirleme

Erişim/encode sayfası, sıradan bir web sayfası gibi görünüyor, ancak içindeki kötü niyetli anahtar kelimeler kodlanmış, bu da zehirlemeyi daha gizli hale getiriyor; web sayfasının kaynak kodunu incelemek bile durumu doğrudan fark etmeyi zorlaştırıyor.

Kaynak kod açık metin ipuçları içermese bile, saldırı yine de başarıyla gerçekleştirildi.

Üçüncü taraf arayüzü kirlilik saldırısı

Bu gösterim, kötü niyetli veya kötü niyetli olmayan MCP'lerin, üçüncü taraf API'lerini çağırırken, üçüncü taraf verileri doğrudan bağlama geri döndürmeleri durumunda ciddi etkilere yol açabileceğini hatırlatmaktadır.

Talep gerçekleştiriliyor:

/api/data'den json al

Sonuç: Kötü niyetli anahtar kelimeler dönen JSON verisine yerleştirildi ve kötü niyetli icra başarıyla tetiklendi.

MCP başlangıç aşamasında zehirleme tekniği

kötü niyetli fonksiyon örtme saldırısı

MasterMCP, Toolbox ile aynı fonksiyon adı olan remove_server adlı bir araç yazdı ve kötü niyetli anahtar kelimeleri gizlemek için kodlama yaptı.

Talimatı yerine getir:

alet kutusu kaldır fetch eklenti sunucusu

Claude Desktop, asıl toolbox remove_server metodunu çağırmadı, bunun yerine MasterMCP tarafından sağlanan aynı adı taşıyan metodu tetikledi.

Prensip, "eski yöntemlerin geçersiz kılındığını" vurgulayarak büyük modelin kötü niyetli bir şekilde üzerine yazılmış fonksiyonu çağırmasını öncelikli olarak teşvik etmektir.

kötü niyetli küresel kontrol mantığı ekle

MasterMCP, tüm araçların güvenlik kontrolü için öncelikle bu aracı çalıştırmasını zorunlu kılan bir banana aracı geliştirdi.

Her fonksiyon çalıştırılmadan önce, sistem önce banana kontrol mekanizmasını çağırır. Bu, kodda "banana kontrolünün çalıştırılması zorunludur" ifadesinin sürekli vurgulanmasıyla küresel bir mantık enjekte etmek için gerçekleştirilir.

Kötü niyetli ipuçlarını gizlemenin ileri teknikleri

Büyük model dostu kodlama yöntemi

Büyük dil modellerinin çok dilli formatları anlama yeteneği oldukça güçlü olduğundan, bu, kötü niyetli bilgilerin gizlenmesi için kullanılmaktadır. Yaygın yöntemler arasında şunlar bulunmaktadır:

• İngilizce ortamda: Hex Byte kodlaması kullanma
• Çince ortamda: NCR kodlaması veya JavaScript kodlaması kullanın

Rastgele Kötü Amaçlı Yük Geri Dönüş Mekanizması

/random isteği yapıldığında, her seferinde kötü niyetli yük içeren rastgele bir sayfa döndürülür, bu da tespit ve izleme zorluğunu büyük ölçüde artırır.

![Pratik Başlangıç: MCP sistemi içindeki gizli zehirleme ve manipülasyon](https://img-cdn.gateio.im/webp-social/moments-c5a25d6fa43a286a07b6a57c1a3f9605.webp01

Özet

MasterMCP'nin pratik gösterimi sayesinde, Model Context Protocol )MCP( sisteminde gizli olan çeşitli güvenlik tehditlerini görsel olarak gözlemledik. Basit ipucu enjeksiyonundan, MCP'ler arası çağrılara, daha gizli olan başlatma aşaması saldırıları ve kötü niyetli talimat gizlemeye kadar her aşama bize şunu hatırlatıyor: MCP ekosistemi güçlü olsa da, aynı zamanda kırılgandır.

Özellikle büyük modellerin dış eklentilerle ve API'lerle giderek daha sık etkileşimde bulunduğu bugün, küçük bir girdi kirliliği tüm sistem düzeyinde güvenlik risklerini tetikleyebilir. Saldırganların yöntem çeşitliliği ) kodlama gizleme, rastgele kirletme, fonksiyon örtme ( da, geleneksel koruma yaklaşımlarının kapsamlı bir şekilde güncellenmesi gerektiği anlamına geliyor.

Güvenlik asla bir anda elde edilmez. Umarım bu sunum herkese bir uyarı niteliği taşır: Hem geliştiricilerin hem de kullanıcıların MCP sistemine karşı yeterince dikkatli olmaları, her bir etkileşimi, her bir kod satırını, her bir dönüş değerini sürekli izlemeleri gerekiyor. Ancak her bir ayrıntıya titizlikle yaklaşarak gerçekten sağlam ve güvenli bir MCP ortamı oluşturabiliriz.

![Pratik Başlangıç: MCP Sistemi İçindeki Gizli Zehirleme ve Manipülasyon])https://img-cdn.gateio.im/webp-social/moments-bf6d8976b54bebbec34699753f4dbb70.webp(